24510
Copyright: @SEAdm1n Вакансии: @infosec_work Сотрудничество - @SEAdm1n Обратная связь. Вопросы, предложения, пожелания, жалобы - @Social_Engineering_bot
Кто вы в зоопарке DevOps-тулзов?
Каждый день вы приручаете зверей CI/CD, но вместо управляемой экосистемы — дикий хаос?
Пора превратить ваш зоопарк в отлаженный механизм. ➡️ Kubernetes — альфа-хищник среди DevOps-инструментов.
K8s способен объединить вашу стаю — пайплайны, деплои, мониторинг и хранение — в единую, логичную и управляемую экосистему.
На курсе «Kubernetes Мега» от Слёрма вы этому научитесь, а также получите:
🔸 Перенос продукта на K8s без боли
🔸 Настройку отказоустойчивых кластеров
🔸 Мгновенный траблшутинг и уверенное устранение инцидентов
🔸 Повышение стабильности и безопасности приложений
🔸 Автоматизация: ротация сертификатов, автодеплой, безопасное хранение секретов
Старт уже 28 июля
Осталось всего 10 мест
Не дайте своим DevOps-зверям вырваться из-под контроля! Программа и регистрация ➡️ по ссылке
Реклама ООО «Слёрм» ИНН 3652901451
• Напоминание о том, что ИТ специалистам, которые работают во фрилансе, нужно быть предельно внимательными и бдительными! Суть заключается в следующем: злоумышленники пишут своим жертвам от имени HR специалистов и под видом тестового задания отправляют им вредоносное ПО для видеоконференций, которое просят установить. Такое ПО выполняет роль кейлоггера и инфостилера, а также передает атакующим удаленное управление устройством жертвы. Основная цель такой схемы — получение доступа к криптовалютному кошельку жертвы. По словам ESET, такие атаки длятся как минимум с 2023 года и уже затронули пользователей по всему миру, от России и Индии до Европы и США.
#Разное
🚪 Аппаратный БЭКДОР.
• В этой статье описана реализация аппартаного бекдора в виде Raspberry Pi. Суть заключается в том, что вы подключаете usb-модем с заряженой симкой к ноутбуку, малинке или чему-то еше, и раземещаете устройство во внутреннюю сети заказчика. Далее настраиваете маршруты, чтобы трафик который будет идти наружу проходил через usb-модем, а трафик который будет проходить внутрь - шел через eth (по проводу).
• Данный материал имеет ознакомительный характер и предназначен для специалистов по безопасности, которые проводят тестирование в рамках контракта.
➡️ r00t_owl/Ova5zkh3MUW" rel="nofollow">https://teletype.in/@r00t_owl/Ova5zkh3MUW
#Пенстет #ИБ
Компания F6 представила сервис полного цикла SOC MDR для обнаружения, расследования и автоматического реагирования на киберинциденты в корпоративной инфраструктуре.
Решение ориентировано на активную защиту как внешнего периметра, так и внутренней сети. При обнаружении признаков атаки команда F6 инициирует работу, не привлекая специалистов заказчика. В сценариях реагирования – изоляция скомпрометированных хостов, блокировка вредоносных процессов и учётных записей, восстановление инфраструктуры.
Особое внимание уделяется зонам внешнего периметра, которые, по данным F6, в большинстве российских компаний содержат критические уязвимости. Каждый выявленный инцидент не только фиксируется, но и становится объектом расследования — вплоть до анализа хронологии и источника проникновения.
В основе SOC MDR — система Threat Intelligence от F6 с поддержкой AI. Решение интегрируется с уже существующими средствами защиты клиента.
От традиционных SOC-сервисов MDR F6 отличает единый замкнутый цикл работы: от проактивного мониторинга до самостоятельного устранения инцидента.
По факту, это полноценное внешнее киберподразделение, способное действовать автономно и обеспечивать наступательную защиту. Для ИБ-команд с ограниченными ресурсами подход может быть особенно актуален — в условиях, когда атаки становятся всё сложнее, а окно возможностей для реагирования сокращается.
🔒 Хотите стать директором по информационной безопасности?
Пройдите обучение на курсе CISO от OTUS и получите уникальные знания для карьеры в информационной безопасности!
Что вас ждёт:
🛡 Управление рисками и проектирование эффективных систем безопасности.
📊 Разработка стратегий и политик безопасности, интеграция ИБ в бизнес-процессы.
👨💻 Лидерские навыки, которые помогут вам вести команды и принимать стратегические решения.
🚀 Практические кейсы и проектная работа для реального применения знаний.
Преимущества курса:
- Получите конкретные навыки для создания и внедрения систем безопасности на уровне всей компании.
- Развивайте управленческие компетенции для эффективного лидерства в сфере ИТ-безопасности.
- Ведущие эксперты и практики поделятся своими знаниями и опытом.
💥 Специальная цена для тех, кто оставит заявку прямо сейчас! Подробности уточняйте у менеджера.
👉 Регистрация: https://otus.pw/lWf4/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
Киберподполье не дремлет: сразу после появления общедоступных PoC стартовали первые RCE-атаки на Fortinet FortiWeb.
Предполагается, что несколько экземпляров Fortinet FortiWeb, недавно зараженных веб-шеллами, были скомпрометированы с помощью общедоступных эксплойтов для недавно исправленной RCE-уязвимости, отлеживаемой как CVE-2025-25257.
Детекты словили исследователи The Shadowserver Foundation, зафиксировав 85 заражений 14 июля и 77 на следующий день.
Исследователи сообщили, что замеченные экземпляры Fortinet FortiWeb предположительно, были взломаны благодаря уязвимости CVE-2025-25257.
CVE-2025-25257 - это критическая предварительно аутентифицированная уязвимость RCE через SQL-инъекцию (SQLi), затрагивающая FortiWeb версий 7.6.0-7.6.3, 7.4.0-7.4.7, 7.4.0-7.4.7 и 7.0.0-7.0.10.
Fortinet выпустила исправления 8 июля 2025 года, настоятельно рекомендовав пользователям обновиться до FortiWeb 7.6.4, 7.4.8, 7.2.11 или 7.0.11 и более поздних версий каждой ветки.
11 июля WatchTowr и один из первооткрывателей уязвимости «faulty *ptrrr» выкатили информацию об эксплойтах, которые включали методы внедрения веб-шеллов или открытия обратных шеллов на непропатченных конечных точках.
Эксплуатация включает выполнение SQLi с помощью специально созданных заголовков авторизации в HTTP-запросах, отправляемых на /api/fabric/device/status, что записывает вредоносный файл .pth в «site-packages» Python.
Затем осуществляется удаленный доступ к легитимному CGI-скрипту FortiWeb (/cgi-bin/ml-draw.py), что приводит к выполнению кода во вредоносном файле .pth и обеспечивает удаленное выполнение кода на устройстве.
На тот момент не было никаких свидетельств активной эксплуатации уязвимости, но ситуация быстро изменилась, как мы и предполагали.
Большинство (40) скомпрометированных конечных точек расположены в США, за ними следуют Нидерланды (5), Сингапур (4) и Великобритания (4).
При этом по данным The Shadowserver, 223 интерфейса управления FortiWeb все еще уязвимы, хотя информация о том, какую версию они используют, отсутствует.
Так что продолжаем следить.
🔑 DefaultCreds.
• Дефолтные пароли на сетевых устройствах встречаются чаще, чем может показаться на первый взгляд. В интернете открытыми портами наружу торчат сотни роутеров не только частных пользователей, но и корпоративных сетей. Держите ссылку на репозиторий, где собрано огромное количество стандартных комбинаций логин/пароль, используемых на множестве устройств и сервисов:
➡ https://github.com/ihebski/DefaultCreds-cheat-sheet
#ИБ
• Все слышали про мошенничество с помощью QR-кодов, которые ведут на фишинговый ресурс для оплаты ЖКХ услуг, товаров и всего прочего? Так вот, мы сейчас активно работаем над созданием нового функционала нашего бота S.E. Virus Detect. В ближайшее время бот научится распознавать QR-коды и выступать в роли дешифратора (показывать, куда именно вас перенаправляет QR-код, проверит домен на наличие угроз и выдаст подробный анализ). Считаю, что этот функционал будет как раз кстати, судя по наличию мошеннических схем с QR-кодами.
• Кстати, эту идею нам подсказал наш читатель, за что ему особая благодарность. Ну а если у вас есть идеи по улучшению функционала, то пишите по контактам, которые указаны в S.E. Virus Detect.
#VT
👩💻 Ansible для начинающих + практический опыт.
• Бесплатный мини-курс, который знакомит любого абсолютного новичка в DevOps с основными моментами Ansible с помощью простых практических упражнений, которые вы можете практиковать прямо в браузере. Всего будет 38 уроков, 2 часа 34 минуты видео и 63 теста. Программа следующая:
• Введение в Ansible:
➡Обзор Ansible;
➡Демо: установка среды;
➡Демо: установка Ansible;
➡Знакомство с YAML;
➡Демо: наши упражнения;
➡Lab: YAML;
➡Тест: Introduction.
• Основные понятия Ansible:
➡Inventory;
➡Lab: Inventory;
➡Тест: Inventory;
➡Демо: особенности Windows;
➡Playbooks;
➡Lab: Playbooks;
➡Тест: Playbooks;
➡Демо: playbooks;
➡Modules;
➡Lab: Modules;
➡Variables;
➡Lab: Variables;
➡Тест: Variables;
➡Демо: Atom IDE.
• Механика Ansible:
➡Conditionals;
➡Lab: Conditionals;
➡Loops;
➡Lab: Loops;
➡Тест: Loops;
➡Roles;
➡Демо: roles;
➡Тест: Roles;
➡О приложении;
➡Lab: App Deploy;
➡Демо: развертывание приложения.
➡️ https://stepik.org/course/123806
#Ansible #DevOps
Освоите методы мониторинга черного и белого ящика на открытом уроке «Мониторинг распределенных систем»
Зачем нужен мониторинг в распределенных системах и в каких случаях он критичен?
Изучите на практике как правильно ставить задачи для мониторинга, чтобы получать полезные и точные данные
✅ Управляй доступностью и надёжностью в ведущих компаниях: стань экспертом SRE!
SRE — это не просто тренд, а стандарт управления IT-инфраструктурой в крупных компаниях. Хочешь играть по правилам, а не тушить пожары?
⬆️ Протестируй курс «SRE практики и инструменты» на открытом уроке
https://tglink.io/cb16a714bbb1?erid=2W5zFJEpopU
#реклама
О рекламодателе
mClouds — канал для тех, кто понимает в IT ⛅️
— Тестируем железо, сервера и ПО на реальных стендах;
— Разбираем, как работает облачная инфраструктура;
— Показываем, как разворачивать сервера для 1С, VDI и IaaS-инфраструктуры;— Без воды, только практический опыт от технарей;
— Новости и кейсы для сисадминов, девопсов и ИТ-руководителей.
Присоединяйся, если твоя работа в железе, облаках и серверах
• Computer Networks: A Systems Approach — эта книга посвящена принципам построения сетей и работе с сетевыми технологиями. В материале смогут разобраться даже те, кто только знакомится с темой! Благодаря этой книге вы изучите ключевые концепции и принципы построения сетей, а также разберете ряд примеров современных технологий и сервисов. Например, тему облака и работу крупных площадок вроде Spotify и Netflix.
• Среди других тем: переход с IPv4 на IPv6, работа с различными типами данных и прочие базовые моменты. Авторы позиционируют книгу как универсальный материал, на основе которого любой специалист может разобраться в сетевых технологиях. Книга на английском языке, так что если у вас с этим сложности, то воспользуйтесь chatgpt и deepl. Читаем тут: https://book.systemsapproach.org
#Сети
🔒 Повысить зрелость информационной безопасности в рамках бюджета, первые шаги 🚀
🔥16 июля в 20:00 мск. приглашаем на открытый вебинар в OTUS
О чём поговорим:
- Внедрение LAPS и управление локальными привилегиями (LPP).
- Использование DCAP и мониторинг конфигураций для контроля изменений.
- Настройка 2FA для критичных сервисов.
- Бесплатные Open Source инструменты, которые помогут повысить зрелость ИБ без лишних затрат.
Что вы получите в результате?
- Конкретный план внедрения Open Source решений для быстрого роста зрелости ИБ.
- Понимание первых шагов для систематизации защиты и эффективного использования бюджета.
💡Не упустите шанс повысить уровень безопасности в вашей организации, не выходя за рамки бюджета!
👉 Регистрация: https://otus.pw/Bym5/
Бесплатное занятие приурочено к старту курса “CISO / Директор по информационной безопасности”, обучение на котором позволит разработать комплексную стратегию по обеспечению информационной безопасности организации.
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
• ESP32-DIV - очередной интересный инструмент для пентестеров, который реализован с помощью платы ESP32 и имеет GUI. Умеет следующее: Packet Monitor, WiFi Analyzer, Beacon Spam, Deauth Detector... Подробное описание, ссылочки и мозги можно взять отсюда: https://github.com/cifertech/ESP32-DIV
➡️ Демонстрация: https://youtu.be/bUvBjcczzcc
#ESP32 #Tools
📶 File Transfer Protocol (FTP).
• В далёком 1971 году родившийся в Индии студент магистратуры MIT Абхай Бхушнан впервые разработал File Transfer Protocol. FTP, появившийся спустя два года после telnet, стал одним из первых примеров работающего пакета приложений для системы, которая в дальнейшем стала известна как ARPANET. Он обогнал электронную почту, Usenet и даже стек TCP/IP. Как и telnet, FTP по-прежнему используется, хоть и ограниченно.
• FTP настолько стар, что появился раньше электронной почты, а в начале он сам играл роль email-клиента. Наверно, неудивительно, что среди множества программ прикладного уровня, созданных для раннего ARPANET именно FTP выделился и проложил себе дорогу в мир современных технологий.
• Причина этого сводится к его базовой функциональности. По сути, это утилита, упрощающая передачу данных между хостами, однако секрет его успеха заключается в том, что он в определённой степени сгладил различия между этими хостами. Как говорит Бхушан в своём рабочем предложении (RFC), самая большая сложность использования telnet в то время заключалась в том, что каждый хост немного отличался от другого.
• Протокол FTP пытался обойти сложности непосредственного подключения к серверу при помощи способа, который он Бхушнан «косвенным использованием»; этот способ позволял передавать данные или исполнять программы удалённо. «Первая сборка» протокола Бхушана, которая десятки лет спустя по-прежнему используется, хотя и в видоизменённом виде, использовала структуру директорий для исследований различий между отдельными системами.
• В интервью подкасту Mapping the Journey Бхушан сообщил, что приступил к разработке протокола из-за очевидной потребности в приложениях для зарождающейся системы ARPANET, в том числе из-за потребности в электронной почте и FTP. Эти первые приложения стали фундаментальными строительными блоками современного Интернета и за последующие десятилетия сильно усовершенствовались.
• Бхушан рассказал, что из-за ограниченных возможностей компьютеров того времени сначала функции электронной почты были частью FTP и позволяли распространять письма и файлы по протоколу в более легковесной формате. И в течение четырёх лет FTP был своего рода электронной почтой.
• Разумеется, Бхушан был не единственным, кто принял участие в разработке этого фундаментального раннего протокола, ведь после выпуска из вуза он получил должность в Xerox. Созданный им протокол продолжил своё развитие без него, получив в 1970-х и 1980-х серию обновлений в виде RFC; в том числе примерно в 1980 году появилась его реализация, позволявшая обеспечивать поддержку спецификации TCP/IP.
• Хотя со временем появлялись незначительные обновления, чтобы протокол успевал за временем и мог поддерживать новые технологии, версия, которую мы используем сегодня, была выпущена в 1985 году, когда Джон Постел и Джойс К. Рейнольдс разработали RFC 959 — обновление предыдущих протоколов, лежащих в основе современного ПО для работы с FTP.
#Разное
🚀 Fly me to the moon.
• Знаете какой вчера был день? Прошло 56 лет с момента посадки человека на Луну!
• 20 июля 1969 года, в 20:17:39 по Гринвичу, лунный модуль миссии «Аполлон-11» совершил первую в истории человечества пилотируемую посадку на другое небесное тело. Событие огромной значимости, как в плане науки, так и в плане идеологическом, стало возможным благодаря самоотверженной работе сотен людей — техников, контролёров, специалистов по связи. И, конечно, программистов, одной из которых была Маргарет Гамильтон (на фото).
• Однако посадка могла не состояться, если бы не гениальность Маргарет, которая разработала бортовое программное обеспечение для программы Apollo.
• Все коды писались, а потом печатались вручную, затем объединяясь в программы. Этот вид памяти назвали «LOL memory». Дословно его можно перевести как «память маленьких старых леди» («little old lаdies»). Ведь печатали коды в основном женщины.
• Когда Нил Армстронг и Эдвин Олдрин были уже почти у Луны, система внезапно дала сбой. На приоритетном дисплее компьютера появились предупреждения о чрезвычайной ситуации. Как выяснилось позднее, переключатель радара (который нужен был уже для обратного полёта) оказался в неправильном положении. Это привело к запросу на выполнение компьютером большего числа операций, чем он был способен обработать. Тут-то и сработала защита. В данном конкретном случае реакцией ПО было приостановить работу низкоприоритетных задач и перезапустить наиболее важные. Итог всем известен — полёт продолжился в штатном режиме, Аполлон приземлился. И всё это стало возможно благодаря усилиям и таланту одного человека - Маргарет Гамильтон. А ведь всё могло закончится совсем по другому...
• Кстати, на фото выше Маргарет запечатлена с распечаткой кода, который использовали для осуществления полета на Луну в 1969 году.
• Сейчас Маргарет 88 лет! Она возглавляет компанию Hamilton Technologies, а за всю жизнь смогла опубликовать более 130 научных работ, трудов и отчетов по 60 проектам и шести крупным программам, в которых она принимала участие. Так то...
#Разное
🚨 Хотите стать экспертом в области кибербезопасности?
❗️Пройдите вступительное тестирование и получите возможность обучаться на курсе «Аналитик SOC» от OTUS по специальной цене!
Что вы получите на курсе:
- Практические навыки работы с инструментами SOC.
- Знания для реагирования на киберугрозы в реальном времени.
- Умение анализировать сетевой трафик и журналы событий.
- Понимание процессов работы в центре мониторинга безопасности.
⚡️После тестирования вам будет предложена специальная цена на обучение, и вы сможете начать развивать свою карьеру в одной из самых востребованных областей! Подробности уточняйте у менеджера.
Не упустите шанс прокачать свои навыки и стать экспертом в SOC! 🚀
👉 Пройти тест: https://otus.pw/PX0N/
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576, www.otus.ru
• Как думаете, что делает человек на фото сверху? Это Крис Уилкинс (фотокорреспондент), который передает фотографию с помощью цифрового передатчика Hasselblad Dixel в первую ночь войны в Персидском заливе, 17 января 1991 года. Но речь немного о другом...
• Дело в том, что ремесло фотокорреспондента в середине и конце XX века требовало не только мужества в свете постоянной опасности, таланта фотографа, знания новостей, политики, спорта, умения успевать думать и фотографировать на ходу, также требовалось быть отличным редактором, способным выбрать лучшие снимки для передачи в газеты на других концах мира, и, что самое главное, нужны были мощные спина и руки.
• Сегодня мы уже привыкли к огромным размерам файлов фотографий и, благодаря Интернету, чудовищно быстрым скоростям их передачи. Профессиональному фотографу для запечатления и доставки изображений на другой конец света нужен набор оборудования, способный уместиться в рюкзак. Однако, ситуация с багажом выездных фотографов более ранней эпохи — каких-то двадцать лет назад — была куда менее приятной.
• Крис Уилкинс вспоминает, насколько массивен был его выездной набор: состоял он из пяти больших жестких кейсов, содержащих всё необходимое для работы в комнате проявки и передающее оборудование. Первые два кейса содержали оборудование для обработки пленки и её сушки, в третьем было оборудование для печати увеличенных образцов для пересылки. В четвертом кейсе находились механическая пишущая машинка и листы клейкой бумаги для создания комментариев к фотографиям. И, наконец, в пятую коробку был упакован аналоговый фотопередатчик для пересылки фотографий.
• Вес всего комплекта составлял несколько десятков килограммов, при этом ни камер, ни объективов — основного вооружения фотографа — в нем не было.
• Образец черно-белого передатчика информационного агенства «Юнайтед Пресс Интернэшнл» UPI Model 16-S использовался примерно вплоть до 1991 года. Передатчик подключен к телефону (на фото) старого образца для того, чтобы показать, как осуществлялась передача. Образец помещался на барабан и медленно сканировался, в то время как сигнал передавался по телефонной линии. Передача одного снимка занимала 8-9 минут.
• Аудиосигнал передатчика состоял из гудков, накаляя атмосферу без того мучительной процедуры, во время которой фотография накручивалась на барабан, а луч лазера считывал её. Идеальное соединение позволяло передать одну цветную фотографию за 26 минут, международная отсылка требовала почти в два раза большего времени, иногда по часу на фотографию.
#Разное
• Очень объемная статья с форума XSS, которая описывает неочевидные функции Nmap и его возможности. Материал будет полезен пентестерам и #ИБ специалистам. Содержание следующее:
➡Nmap и IDS;
➡Nmap и службы;
➡Nmap и белые списки;
➡Выявление хостов в сети;
➡Скрытый скан портов Nmap;
➡Интеграция Nmap с Metasploit;
➡Тайминг и производительность в Nmap;
➡Анализ операционных систем с помощью Nmap;
➡Обнаружение и анализ виртуальных частных сетей;
➡Использование Zenmap для автоматизации сканирования;
➡Использование API Nmap для создания собственных приложений;
➡Nmap Scripting Engine: расширение функционала Nmap скриптами;
➡Автоматизация тестирования безопасности с использованием Nmap.
➡ Источник: https://xss.is
➡ Автор: @sithortodox
#Nmap
💻 PostgreSQL. Основы языка SQL.
• Еще один бесплатный учебник по языку SQL, в котором рассматривается создание рабочей среды, описаны языки определения данных и основные операции выборки и изменения данных. Показаны примеры использования транзакций, уделено внимание методам оптимизации запросов. Материал сопровождается многочисленными практическими примерами. Отлично походит для самостоятельного обучения. В пособии рассматриваются следующие темы:
➡Введение в базы данных и SQL;
➡Создание рабочей среды;
➡Основные операции с таблицами;
➡Типы данных СУБД PostgreSQL;
➡Основы языка определения данных;
➡Запросы;
➡Изменение данных;
➡Индексы;
➡Транзакции;
➡Повышение производительности.
➡️ Скачать книгу.
#SQL
• Погрузимся в мир стеганографии: инженер-программист из Бруклина нашел метод, который позволяет спрятать в смайлик до 3.500 знаков текста. При копировании такого смайлика текст остается невидимым и передается везде, где есть Unicode.
• Как отмечают на хабре, такая реализация может привести к обходу проверки на длину строки, для вызова buffer overflow или просто стриггерить DoS вызванный медленной обработкой данных.
#Стеганография
Исследователи из Лаборатории Касперского рассказали о результатах своего расследования инцидента, жертвой которого стал блокчейн-разработчик из России.
Как оказалось, фейковое расширение для редактора кода Cursor AI IDE заражало устройства инструментами удаленного доступа и инфостилерами, что в случае с упомянутым разрабом привело к краже у него криптовалюты на 500 000 долл.
Cursor AI IDE представляет собой среду разработки с ИИ, основанную на Visual Studio Code от Microsoft.
Она включает поддержку Open VSX, альтернативы Visual Studio Marketplace, что позволяет устанавливать совместимые с VSCode расширения для расширения функциональности ПО.
Примечателоьно, что ОС жертвы была установлена всего за несколько дней до инцидента. На зараженное устройство были загружены лишь самые необходимые и популярные программы.
Но, как сообщается, не было установлено антивирусное ПО, использовались бесплатные онлайн-сервисы.
Получив образ жесткого диска устройства и, проанализировав его, исследователи ЛК обнаружили вредоносный JavaScript-файл с именем extension.js, расположенный в каталоге .cursor/extensions.
Расширение получило название Solidity Language и было опубликовано в реестре Open VSX. Заявлено, что это инструмент подсветки синтаксиса для работы со смарт-контрактами Ethereum.
Несмотря на то, что плагин выдавал себя за легитимное расширение подсветки синтаксиса Solidity, на самом деле выполнял скрипт PowerShell с удаленного хоста angelic[.]su для загрузки дополнительных вредоносных полезных данных.
Удаленный скрипт PowerShell проверял, установлен ли уже ScreenConnect, и, если нет, запускал другой скрипт для его установки.
После этого злоумышленники получили полный удалённый доступ к компьютеру разработчика.
Используя ScreenConnect, загрузили и выполнили файлы VBScript, которые использовались для загрузки дополнительных полезных данных на устройство.
Последний скрипт атаки загружал вредоносный исполняемый файл с archive[.]org, содержащий загрузчик, известный как VMDetector, который устанавливал: Quasar RAT (способный выполнять команды на устройствах) и стиллер PureLogs (крадет учетные данные и файлы cookie аутентификации из веб-браузеров, а также данные криптокошельков).
По данным Лаборатории Касперского, Open VSX показал, что расширение было загружено 54 000 раз, прежде чем оно было удалено 2 июля.
Однако исследователи полагают, что число установок было искусственно завышено, чтобы придать ему видимость легитимности.
Днем позже злоумышленники опубликовали практически идентичную версию под названием solidity, увеличив количество установок этого расширения почти до двух миллионов.
Злоумышленники смогли повысить рейтинг своего расширения выше легитимного в результатах поиска Open VSX, обойдя алгоритм и резко завысив количество установок, что и побудило жертву установить вредоносное расширение, приняв его за легитимное.
Исследователи также обнаружили схожие расширения в магазине Microsoft Visual Studio Code под под названиями solaibot, among-eth и blankebesxstnion, которые также запускали скрипт PowerShell для установки ScreenConnect и инфостилеров.
Таким образом, в ЛК настоятельно рекомендуют разработчикам с осторожностью загружать пакеты и расширения из открытых репозиториев, которые в последнее время все чаще становятся источниками заражения вредоносным ПО.
Вредоносные opensource-пакеты продолжают представлять серьёзную угрозу для криптоиндустрии и до сих пор остаются для злоумышленников привлекательным способом заработка, ведь ногие проекты сегодня полагаются на инструменты с открытым исходным кодом.
💻 Анализ журналов событий ОС Windows 🛠
🔥22 июля в 20:00 мск. приглашаем на открытый вебинар в OTUS.
На вебинаре рассмотрим:
- Какие журналы событий существуют в ОС Windows?
- Как расширить уровень журналирования событий с помощью встроенных механизмов в ОС Windows?
- Что такое Sysmon и в чём его плюсы?
- Какие инструменты для анализа событий в ОС Windows могут быть полезны?
🎓После вебинара вы:
- Узнаете основные журналы событий в ОС Windows.
- Освоите способы настройки аудита событий в ОС Windows.
- Поймёте, как Sysmon расширяет возможности журналирования событий.
- Познакомитесь с инструментами, которые помогут в анализе журналов событий.
Приходите, если хотите научиться эффективно работать с журналами событий Windows и повышать безопасность вашей системы! 🔐
👉 Регистрация: https://otus.pw/p4qW/
Бесплатное занятие приурочено к старту курса “Аналитик SOC”. Курс позволит прокачать многие профессиональные навыки, такие как, работу с современными инструментами (SIEM, Wireshark), навыки выявления аномалий, анализ трафика, а также умение реагировать на инциденты и проводить threat hunting.
Реклама. ООО «Отус онлайн-образование», ОГРН 1177746618576
• Пост выходного дня или немного оффтопа: нашел очень интересную карту "Магистральные сети связи в РФ". Указано, что протяженность магистральных ВОЛС составляет около 1476 тыс. км., а рынок магистрального доступа насчитывает более 20 игроков.
• Кстати, карту можно скачать, распечатать и заклеить себе стену. Ну, а если серьезно, то достаточно интересная карта и статистика операторов связи. Зацените сами: https://www.comnews.ru/content/236040/
#Разное
🫠 Зачем Яндекс.Браузеру эти данные?
• Коротко о том, какие данные собирает Яндекс Браузер с опцией отправки статистики, после его установки. Выводы можно сделать самостоятельно: https://habr.com/ru/articles/878236/
#Разное
• Автор этого материала написал полезный скрипт, который может слать вам сообщения в Телегу о скором окончании срока действия сертификатов (TLS \ УКЭП). Данный метод не панацея, но он максимально простой и легко реализуем с помощью PowerShell. Думаю, что многим будет полезно.
➡️ https://habr.com/ru/articles/881922/
#PS #ЭП #Разное
🌍 Сперва Бог создал землю, свет и… Интернет.
• Перед тем, как огромные дата-центры стали сдавать свои мощности в аренду, формируя отдельную индустрию, интернет эволюционировал десятки лет от военной сети без маршрутизации до огромной инфраструктуры с подводными кабелями и распределенными центрами обработки данных.
• Еще в далеком 1969 году управление DARPA (Defense Advanced Research Projects Agency) Министерства обороны США разработало сеть ARPANET — именно она послужила прототипом современного интернета.
• Шла холодная война. Передавая данные на перфокартах физически, США считали себя достаточно уязвимыми, поскольку росли опасения ядерной атаки. При попадании ракет в стратегические объекты критически важная информация могла бы оставаться сохранной, распределяясь по сетевым узлам с достаточно высокой скоростью — оперативность передачи данных в такой ситуации является еще одним преимуществом.
• Основными разработчиками новой технологии выступили Калифорнийский университет в Лос-Анджелесе и Стэнфордский исследовательский центр. Именно тогда была придумана концепция иерархии протоколов передачи данных — уровни взаимодействия частей компьютеров в сети делились на аппаратный, программный, модемный и другие. Кстати, на этом этапе был придуман всем известный протокол FTP для передачи данных — задолго до появления HTTP и даже TCP/IP.
• При первом запуске сеть состояла из двух терминалов, максимально удаленных друг от друга, чтобы проверить систему в предельных состояниях. Первый терминал находился в Калифорнийском университете, а второй на расстоянии 600 км от него — в Стэнфордском университете. В качестве теста оператор вводил слово «login», а второй подтверждал, что он видит его у себя на экране. Первая попытка потерпела неудачу — отобразились только буквы «l», «o». Но уже через час сеанс провели повторно и все получилось.
• Короче говоря, первоначально ARPANET предназначалась исключительно для целей военных и спецслужб.
• В такой сети сообщения можно было отправлять только между двумя одновременно подключенными компьютерами. Однако, в 1971 году, программист ARPANET Рэймонд Томлинсон создал систему, которая отправляла сообщения между несколькими хостами. Кстати, Томлинсон официально признан изобретателем электронной почты в том виде, в каком мы ее знаем сегодня. Например, он представил современный синтаксис, который включает знак «@» для отделения имен пользователей от имен хостов. Об истории создании почты я писал тут. Уже в 1973 году общение по электронной почте занимало 75% всей активности в сети.
• Спустя 10 лет ARPANET перешла на маршрутизацию пакетов данных. Уже тогда в качестве протокола использовался TCP/IP — с некоторыми изменениями он по-прежнему является основным протоколом передачи данных.
• ARPANET активно росла — её использовали учёные из разных областей науки. Если в 1971 году к сети было подключено около 20 терминалов, то уже к 1983 году — 4000. Более того, через ретранслирующие спутники была налажена связь с Гавайями и Европой.
• Первым провайдером, который получил право предоставлять желающим сеть ARPANET стал Telenet. Для этого появился даже отдельный термин — Internet Service Provider (ISP).
• Это произошло, когда научно-исследовательская компания Bolt Beranek и Newman, будучи частным подрядчиком ARPANET, решила создать версию сети для частного сектора. Поэтому в 1975 году Telenet запустил первую общедоступную сеть с маршрутизацией пакетов.
• Впоследствии у ARPANET появился серьёзный конкурент — Национальный фонд науки США (NSF) и его межуниверситетская сеть NSFNet, имеющая гораздо большую пропускную способность.
• NSFNet по всем параметрам выигрывала у ARPANET — была быстрее, дешевле и связывала больше компьютеров. В конце концов, ARPA передали входящее в сеть оборудование проекту NSFNet. Прожив 22 года, ARPANET прекратила своё существование в июне 1990 года, а на ее место постепенно пришел привычный нам Интернет.
#Разное
Исследователи QiAnXin сообщили об обнаружении новой действующей из Северной Америки APT-группы, нацеленной на высокотехнологичные секторы Китая.
PanGu и RedDrip из QiAnXin раскрыли свои выводы на конференции по безопасности CYDES в Малайзии на прошлой неделе, а также опубликовали технический отчет на GitHub в прошлую пятницу.
Исследователи описывают NightEagle (APT-Q-95 и APT-C-78) как чрезвычайно скрытную и очень сложную.
Группировка использует новое вредоносное ПО, уникальную серверную инфраструктуру для каждой жертвы и потенциально задействует в атаках 0-day для Microsoft Exchange.
Каким образом группа получает доступ к сети цели пока остается неясным, тем не менее, проникнув внутрь, они устанавливают модифицированную версию Chisel, которое каждые несколько часов отправляет запросы на домен С2.
Записи DNS для любого из доменов C2 недоступны в 99% случаев и настроены на указание на тупиковый IP-адрес, например 127.0.0.1, 0.0.0.0, 0.0.0.1, 1.0.0.0 и 114.114.114.114.
По-видимому, домены серверов C2 активируются и разрешаются для преобразования в реальный IP-адрес только тогда, когда операторы активны, и немедленно отключаются в ином случае.
По данным QiAnXin, когда домены C2 активны, NightEagle взаимодействует с локальными серверами Microsoft Exchange и размещает в памяти бесфайловые импланты.
Опять же исследователи еще не выяснили, но, по-видимому, это делается с помощью цепочки 0-day эксплойтов для Exchange.
NightEagle задействует встроенный в память вирус для кражи электронных писем из почтовых ящиков Exchange организации.
Помимо электронной почты, группа также нацеливается на репозитории исходного кода и системы резервного хранения данных.
Группировка действует с 2023 года, а ее целями обычно являются китайские компании в сфере высоких технологий, включая производитство микросхем, квантовые технологии, искусственный интеллект, а также ВПК КНР.
QiAnXin назвала группу NightEagle, поскольку она действует только в ночное время в Китае, с 21:00 до 6:00 по пекинскому времени.
Причем вне этого хронометража группа никогда не работает. Исследователи полагают, что строгий график позволяет группе действовать в часовом поясе западного побережья Северной Америки.
QiAnXin официально не связывала APT с какой-либо страной, однако упоминание в названии Eagle говорит о многом по части атрибуции.
▶️ БЕСПЛАТНЫЙ практический вебинар по пентесту и поиску уязвимостей с Александром Медведевым!
Хотите научиться находить уязвимости в веб-приложениях и эксплуатировать их, как настоящий хакер? Тогда наш вебинар «Поиск уязвимостей и эксплуатация: от разведки до повышения привилегий» — для вас!
✔️ 8 июля в 19:00 (мск) БЕСПЛАТНО
✔️ Регистрация
Что разберём?
✦ Структура и особенности наших курсов по пентесту и информационной безопасности
✦ Практические задания из лабораторий WAPT — как в реальных пентестах
✦ Поиск уязвимостей в веб-приложениях и применение эксплойтов
✦ Ошибки конфигурации, которые приводят к взлому
✦ Техники повышения привилегий – как закрепиться в системе
Для кого?
✦ Начинающие пентестеры и специалисты по кибербезопасности
✦ Разработчики, которые хотят понимать уязвимости, и не допускать их в своих продуктах
✦ Все, кто интересуется взломом и защитой веб-приложений
Спикер: Александр Медведев – эксперт с 10+ годами опыта в ИБ, OSWE, OSCP, PNPT, CEH, CWAPT, 5-кратный победитель Standoff (Codeby)
Не пропустите! 😎 Регистрация здесь.
🚀 Трудности с регистрацией? Пишите @Codeby_Academy
⚡ Отличные новости: разыгрываем 3 книги для изучения Linux.
• 10 победителей этого конкурса получат по 3 книги в бумажной версии, которые будут полезны как начинающим, так и опытным специалистам:
- Linux. От новичка к профессионалу.
- Командная строка Linux.
- Linux глазами хакера.
• Итоги подведём 12 июля в 18:30 случайным образом при помощи бота. Доставка для победителей бесплатная в зоне действия СДЭК.
Для участия нужно:
1. Быть подписанным на наш канал: Infosec.
2. Подписаться на канал наших друзей: Мир Linux.
3. Нажать на кнопку «Участвовать»;
4. Ждать результат.
Бот может немного подвиснуть — не переживайте! В таком случае просто нажмите еще раз на кнопку «Участвовать».
#Конкурс